本页介绍了“默认安全,已扩展”预定义状态 v1.0 版本中包含的预防性政策。此预定义状态有助于防止由默认设置导致的常见错误配置和常见安全问题。
您可以使用此预定义的安全状况来配置安全状况,以帮助 保护 Google Cloud 资源。如果您想部署此预定义状况,则必须 自定义一些政策,以使其适用于您的环境。
| 政策 | 说明 | 合规性标准 |
|---|---|---|
iam.disableServiceAccountKeyCreation |
此限制条件会阻止用户为服务账号创建永久密钥,以降低服务账号凭据泄露的风险。 通过
值为 |
NIST SP 800-53 对照组:AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
此约束条件可防止默认服务账号在创建时获得权限过高的 Identity and Access Management (IAM) 角色 Editor。 通过
值为 |
NIST SP 800-53 对照组:AC-3 |
iam.disableServiceAccountKeyUpload |
此限制条件 避免服务账号中的自定义密钥材料发生泄露和重复使用的风险 键。 值为 |
NIST SP 800-53 对照组:AC-6 |
storage.publicAccessPrevention |
此政策可防止 Cloud Storage 存储分区从开放到未经身份验证的公开 访问权限。 值为 |
NIST SP 800-53 对照组:AC-3 和 AC-6 |
iam.allowedPolicyMemberDomains |
此政策限制 仅允许在所选 中 受管理的用户身份的 IAM 政策 网域以访问此组织内的资源。 值为 |
NIST SP 800-53 控件:AC-3、AC-6 和 IA-2 |
essentialcontacts.allowedContactDomains |
本政策 对重要联系人进行限制,仅允许在以下位置使用受管理的用户身份: 选定网域来接收平台通知。 其值为 |
NIST SP 800-53 控制措施:AC-3、AC-6 和 IA-2 |
storage.uniformBucketLevelAccess |
此政策可防止 Cloud Storage 存储桶使用按对象 ACL(与 IAM 政策不同的系统)来提供访问权限,从而强制执行访问权限管理和审核的一致性。 值为 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
compute.requireOsLogin |
此政策要求新创建的虚拟机使用 OS Login,以便更轻松地管理 SSH 密钥、使用 IAM 政策提供资源级权限,以及记录用户访问情况。 该值为
|
NIST SP 800-53 对照组:AC-3 和 AU-12 |
compute.disableSerialPortAccess |
此政策可防止用户访问虚拟机串行端口,该端口可用于通过 Compute Engine API 控制平面进行后门访问。 值为 |
NIST SP 800-53 对照组:AC-3 和 AC-6 |
compute.restrictXpnProjectLienRemoval |
此政策可防止意外删除共享 VPC 主机 来限制项目安全锁的移除。 该值为
|
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
compute.vmExternalIpAccess |
此政策会阻止创建具有公共 IP 地址的 Compute Engine 实例,此类地址可能会向传入互联网流量和传出互联网流量开放实例。 值为 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
compute.skipDefaultNetworkCreation |
这个 政策会禁止自动创建默认 VPC 网络, 防火墙规则,确保网络和防火墙规则 。 值为 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
此政策限制应用开发者为 Compute Engine 实例选择旧版 DNS 设置,因为旧版 DNS 设置的服务可靠性低于新版 DNS 设置。 对于新订单,该值为 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
sql.restrictPublicIp |
此政策可防止创建具有公共 IP 地址的 Cloud SQL 实例,此类地址可能会向传入互联网流量和传出互联网流量开放实例。 值为 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
sql.restrictAuthorizedNetworks |
此政策可阻止公共或非 RFC 1918 网络范围访问 Cloud SQL 数据库。 值为 |
NIST SP 800-53 对照组:AC-3 和 AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
此政策仅允许为内部 IP 地址转发虚拟机协议。 值为 |
NIST SP 800-53 对照组:AC-3 和 AC-6 |
compute.disableVpcExternalIpv6 |
此政策会阻止创建外部 IPv6 子网,此类子网可能向传入和传出互联网流量开放。 值为 |
NIST SP 800-53 对照组:AC-3 和 AC-6 |
compute.disableNestedVirtualization |
本政策 停用嵌套虚拟化,以降低因未被监控而导致的安全风险 嵌套实例。 值为 |
NIST SP 800-53 对照组:AC-3 和 AC-6 |
查看状况模板
如需查看默认、扩展的安全状况模板,请执行以下操作:
gcloud
在使用下面的命令数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
执行 gcloud scc posture-templates
describe 命令:
Linux、macOS 或 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
响应包含配置文件模板。
REST
在使用任何请求数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
HTTP 方法和网址:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
如需发送您的请求,请展开以下选项之一:
响应包含配置文件模板。